Pull to refresh

Comments 56

С КМО(материальная ответственность) тоже самое, при любом чихе она не действительна.

Пример знаю, но в большой транснациональной компании. Кстати, там не подписывают NDA, там в должностной инструкции,которую ты тоже подписываешь, определено к чему по должности ты можешь иметь доступ (категориям данных). Ну и есть документы, регламентирующие порядок работы с КТ.

ИП это не сможет, конечно, впрочем, и не только ИП, это реально очень дорого и медленно.

Знаю, что некоторые компании находят IT-решения, которые могут ограничить или запретить копирование информации на флешки и отправку по почте.

Это называется DLP (Data Leak Prevention. Бывают и другие расшифровки со схожим смыслом).

И таких систем немало - можно посмотреть википедийный Список_DLP-систем

Чисто для поинтересоваться как защититься от фото монитора к ком тайной или ПНД на личное устройство?

Смотрим приложением постоянно снимающую веб-камеру монитора.

Пользователь пытается навести на монитор нечто, похожее на телефон или фотоаппарат - смена изображения на экране (по разным вариантам - например, выдача текста с предупреждением и блокирование отображения информации, блокировка ОС, наложение на экран водяного знака "Василий Пупкин 30.02.2024 25:62:78" для последующего расследования при обнаружении снимка там, где быть не должно или еще чего подобное) плюс отправка безопаснику компании события попытки фотографирования экрана с приложением кадра/ролика для ручной оценки, правда пользователь пытался спереть инфу или он просто бумажник доставал, ошибочно воспринятый за телефон...

Ясное дело, такой надзор должен быть закреплен юридически до введения, сведения о возможности постоянной записи - доведены до работника под роспись и все такое.

Да, с этой датой будет круто смотреться..:)

Смотрим приложением постоянно снимающую веб-камеру монитора.

То есть, если на веб-камеру сначала наклеят стикер, а потом будут фоткать, то безопасность не сработает?

Вы же понимаете, что проблемы делятся на три основных категории - технические, организационные и политические, и решать каждую категорию проблем надо предназначенными для этого категориями инструментов?

Заклейка камеры - это организационная проблема.

ПО может только уведомить безопасника "не получаю сигнала" - и дальше проблема решается именно организационными, а не техническими мерами.

Или прекратить отображать экран до момента, когда начнет получать видеосигнал. Это хуже - но тоже возможно.

Или развернуть видеонаблюдение не только с экранной камеры, но и с внешних, слабодоступных для заклейки.

И еще - абсолютно защищенная система будет стоить бесконечное количество денег - и потому (среди прочего) не существует.

Абсолютно защищенная система, это когда безопасник ходит по помещению и наблюдает за работой. Так на галерах было сделано.

А как защититься от перехвата hdmi ? Устройства стоят копейки и могут писать сколько хочешь

Физически закрыть доступ к разъёмам.

DataNova OR модуль DSS (https://ct-sg.ru/) контролирует камеру компьютера и если видит съемку экрана выключает монитор. Также можно изымать устройства при входе в организацию, на некоторых военных организациях так делают.

Странно только что автор не рассказала как наносить гриф на электронную информацию или файл с базой данных.

Проще говоря: я работаю в Word. Как нанести гриф на базу данных, не представляю, потому подняла эту тему. Хочется понимать больше в этом процессе

Компания должна наносить на все секретные документы гриф «Коммерческая тайна» или «Секретно»

Грифы "секретно" и "ДСП" устанавливают только гос.органы и гос. предприятия. Если у вас в компании планируется получение подобных документов, придётся пройти интересную процедуру сертификации для работы с гостайной. И ответственность за её утечку несколько другая

А есть отсылка к нормативному акту?

У меня такое: ст. 61 Федерального закона от 29.07.2004 г. № 98-ФЗ

2. "Обладатель информации, составляющей коммерческую тайну, имеет право:

1) устанавливать, изменять, отменять в письменной форме режим коммерческой тайны в соответствии с настоящим Федеральным законом и гражданско-правовым договором"

Постановление Правительства РФ от 4 сентября 1995 г. N 870 "Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности"

Почитала. То именно про гос. тайну. Коммерческую тайну может установить любое юрлицо и утвердить грифы секретности

Так уже написали, что степени секретности относятся только к государственной тайне, а не к коммерческой.

Ну как-то же секретность в коммерции нужно обозначать.

Степень коммерческой тайны, что ли?
Коммерческая тайна либо есть, либо нет.
У нее же нет степеней "тайности", или я что-то не понимаю?

Секретность в коммерции обычно не является вопросом госбезопасности и госурегулирования (уголовка).

Да уголовка для полноты материала статьи. Я с ней тоже ни разу не сталкивалась.

А гриф «конфиденциально» чем плох?

а что такое "гриф конфиденциально"? 98-фз определяет именно "гриф коммерческая тайна":

  1. нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Коммерческую тайну может установить любое юрлицо и утвердить грифы секретности

Откройте закон о «коммерческой тайне», на который вы ссылаетесь, и прочитайте какой гриф должен устанавливаться на носителях коммерческой тайны, там это явно прописано.

Насколько помню, грифовать могут только органы власти.

Коммерческие компании могут ставить только метку конфиденциальности.

В среднестатистическом аутсорсе тоже есть юристы и все быстро устраивается.

  1. подписываешь NDA, где тебе явно указывают что публиковать можно только ту информацию, которая уже опубликована компанией на публичных ресурсах, все остальное - внутренее. Внутреннюю нельзя публиковать нигде кроме ресурсов компании (корпоративная почта, корпоративный мессенджер).
    Конфиденциальную только по служебной необходимости. Документ готов для суда.

  2. Компания устраивает тебе онлайн курс по типам информации, где есть слайды, голос, видео с примерами что есть конфиденциальное, что есть корпоративное, что есть приватное, что есть публичное. Ставишь галочку по окончании курса. Даже вопросник есть. Все, твоя подпись о том, что ты ознакомлен с тем что есть секретная информация и что не есть - готова для суда.

Убытки можно предъявить либо по штрафам либо по потерям репутации. Но да, привлекать в суд и удерживать можно в рамках выплаченных денег, ибо это не секретная информация, а коммерческая. Тут я согласен, что в НДА штрафы не могут превышать размеры ЗП. И если еще удержать и уволить не проблема, то стянуть деньги с уже уволенного сотрудника - маловероятно в СНГ.

Но, например если из-за утечки данных, компания была вынуждена заплатить штраф какому-то регулятору, то для суда это достаточное обоснование.

А доказать кто именно сделал утечку - ну так если утечка произошла, то если это не работали профессиональные хакеры, найти несложно.

Читал про ситуацию, когда сотрудник делал себе скриптики для упрощения работы и тупо хранил их на гитхабе. С паролями, адресами. Там достаточно было загуглить.

Читал про ситуацию, когда сотрудник делал себе скриптики для упрощения работы и тупо хранил их на гитхабе.

Этот кейс попахивает каким-то раздолбайством и нарушением элементарных правил безопасности

да, но отвертеться что это не ты в таких случаях уже точно не выйдет.
Собственно NDA подписывают не для того, чтобы противостоять реальным злоумышленникам, а именно против для раздолбаев, которых реально хватает, и все мероприятия по этому поводу должны быть достаточно пафосные, чтобы хоть как-то отложиться в памяти. Чтобы не тестили продакшен скрипты на шеллчек или не форматировали конфиденциальные письма с клиентскими данными на paste.bin

Совет: не забивайте на NDA.
Если серьезный контракт или серьезные деньги - читайте внимательно и не подписывайте с закрытыми глазами.

Чтоб программисту попасть на деньги за нарушение NDA, компании не обязательно выйграть иск, достаточно его просто выкатить.

Пример непрямого "попадания" на деньги в штатах за нарушение (или даже просто разбирательство) по NDA:
- Бывший сотрудник в штатах, Флорида.
- Компания в Колорадо.
- Компания выставляет иск бывышему сотруднику за нарушение NDA.
- Суд в Колорадо.
- Нужен адвокат, представляющий сотрудника в Колорадо.
- Сотруднику нужно слетать пару раз в CO, непоймизачем.

Итог:
- компания разобралась, что погорячилась и реального NDA не было.
- бывший сотрудник вынужден тратить деньги и время на найм адвоката, полеты, разъяснения и т.п. фигню, к которой у среднестатистического программера душа совсем не лежит.

Да, есть желание забить т.к. проблема была из-за overreaction одного из сотрудников и реального нарушения NDA не было, но если сотрудник "забивает", то истец выставляет иск.
Суд принимает решение и бывшего сотрудника "выставляют" на деньги по решению суда.

Блин, а в Колорадо другое право и цены на адвокатов другие...

- бывший сотрудник вынужден тратить деньги и время на найм адвоката, полеты, разъяснения и т.п. фигню, к которой у среднестатистического программера душа совсем не лежит.

Если ты живешь в США, то душа к юриспруденции и вообще встроенное уважение к адвокатам у тебя должно быть с рождения.... это факт. Иначе - страдай

А если ты из России и начал работать с той компанией..

Вот предположим, я перешел на другую работу и применил на ней ряд наработок/решений с предыдущей, но исходные коды я не копировал. Может ли первый работодатель как-то защититься от такого? Не может же он запретить мне пользоваться накопленным опытом? И действуют ли вообще эти NDA после увольнения?

Это как идея, которую нельзя запатентовать. Вопрос в том, чтобы не было совпадений до степени смешения. Тогда сделал, как художник, и ничего не украл

Это уже NCA. Некоторые работодатели просят подписать соглашение о неконкуренции, подтверждающее ваше согласие после увольнения некоторый срок не работать на конкурентов. В рамках ТК РФ никакого веса не имеет, но кроме правовых факторов есть ещё джентльменское соглашение, честь и репутация. Если не считаете такое предложение справедливым, то лучше на него просто не соглашаться и поискать другого нанимателя.

Можно и в суд сходить с иском о признании NCA недействительным, а можно к конторе-подписанту подойти с ненавязчивым предложением засунуть NCA в мусорную корзину.

Там есть один важнейший момент: на этот период компания продолжает вам платить. И если перестает, соглашение считается исполненным.

можно реально отсудить у работника пару сотен тысяч рублей за слив информации

200 000 рублей = зарплата почти за 2 года. Это очень много.

Но, если 200 000 разделить на 24 месяца, получится, что в месяц сотрудник получал 8 333 рубля. Да даже на 12 месяцев (16 667 руб). Сейчас пенсия выше...

Да, это меньше даже регионального МРОТ

Представьте, что вы — предприятие. По указу президента РФ вы обязаны повысить зарплату сотрудникам. Однако денег в ФОТ этот указ не прибавляет. Раньше вы держали сотрудников на половинах ставки, платили им по 9 тысяч в месяц, но теперь так нельзя. Нужно повысить зарплату хотя бы в три раза!

Поэтому вы переводите сотрудников на 1/8 ставки и платите им те же деньги. Внезапно! На руки они получают по 9 тысяч в месяц, а в отчёте каждая их ставка получает целых 72 тысячи рублей!

где в интерфейсе базы данных бекенда указать что база - коммерческая тайна?

ли это уже как несанкционированный доступ к информации?

Не давай доступ до прода, кому не нужно. Несанкционированный доступ

Тема персональных данных не раскрыта ))) ибо за их разглашения тоже можно привлечь если они запрятаны внутри коммерческой тайны

Персданные - отдельная песня с целым лесом дебрей)))

Прочитал заголовок и первую строчку воспринял так:

"Привет! Я Наталья Новикова, юрист по договорам - автор книг в жанре фантастики и приключений. "

Да всё так и есть, у нас юриспруденция часто ан грани фантастики :D

А вот интересно, обязательно ли фиксировать доступ к такой информации на бумаге? Логи доступов к такой информации, фиксирующие этот факт автоматически не подойдут?

Для суда нужно соотнести такие факты: аккаунт, под которым получили доступ, принадлежит такому-то ФИО + в тот момент времени именно ФИО сидел с этого аккаунта и смотрел информацию.

Ну положим, аккаунт можно закрепить за сотрудником (собственно так и делается всегда) + прописать обязанность сотрудника сохранять в тайне пароль аккаунта, а также незамедлительно сообщать о его компроментации, что тоже обычное дело.

Факт доступа к информации с его аккаунта вообще можно автоматически регистрировать и вроде как вопрос решен в этой части.

Другой вопрос, примет ли суд эту информацию.

У нас один раз принял. Была ситуация: во франшизе у франчайзи есть личный кабинет на сайте. Компания предоставила суду логи входа в личный кабинет. Франчайзи не смог доказать, что это не он входил под своим аккаунтом. Суд встал на сторону компании

Sign up to leave a comment.

Articles